Учебное пособие Издательство Тюменского государственного университета 2009

Вид материалаУчебное пособие

Содержание


Расчет подсетей.
Алгоритм расчета характеристик подсети
Не используется
Не используется
Управление учетными записями и группами.
Операторы архива
Опытные пользователи
Управление рабочей средой пользователя.
Профили пользователей.
Сервер сценариев Windows
Аудит локальной системы
Групповая политика
Системы управления сетью (NetworkManagementSystems)
Средства управления системой (SystemManagement).
Встроенные системы диагностики и управления (Embeddedsystems).
Анализаторы протоколов (Protocolanalyzers)
Оборудование для диагностики и сертификации кабельных систем.
Сетевые мониторы
Кабельные сканеры
Экспертные системы.
...
Полное содержание
Подобный материал:
1   ...   7   8   9   10   11   12   13   14   ...   19

Расчет подсетей.


Подсети нужны для экономии IP-адресов и более точного проектирования топологии сети.

При создании подсети есть возможность варьировать количеством создаваемых подсетей и количеством узлов в каждой подсети за счет изменения маски подсети.

В классе А изменяется 2 октет.

В классе В изменяется 3 октет.

В классе С изменяется 4 октет.

Количество узлов в сети определяется по формуле , где n – количество нулевых битов в маске, представленной в двоичном формате.



Алгоритм расчета характеристик подсети:

  1. Определяется маска подсети.
  2. Определяются идентификаторы подсетей – координаты подсетей в таблице маршрутизации, идентификатор подсети задает диапазоны адресов к каждой подсети.

3. Определяется диапазон IР-адресов в каждой подсети

1. Определение маски подсети состоит из следующих четырех этапов.
  1. Исходя из условий проектирования топологии сети, определяется количество необходимых подсетей.
  2. Полученное десятичное значение переводится в двоичный формат и подсчитывается количество бит, необходимых для его записи данного числа в двоичном формате.
  3. Производится модификация маски подсети. Полученные биты выставляются в начало нулевого байта и дополняются справа нулями.
  4. Производится перевод маски в десятичное значение.

На рисунке 5.3.2 показаны все четыре этапа определения маски подсети.




Рис.5.3.2. Определение маски подсети.

Исходя из условий проектирования корпоративной сети было решено создать шесть подсетей. Для записи числа шесть в двоичном формате необходимо три бита (110). В третьем октете маски подсети первые три бита замещаем единицами и подсчитываем маску подсети в десятичном формате. На рисунке 5.3.2 показано соответствие восьми разрядов двоичной системы десятичной системе исчисления. Первый единичный бит в десятичной системе это 128, второй – 64 и третий 32. Складываем эти три значения и получаем 224, следовательно маска подсети в нашем примере 255.255.224.0.

2. Определение идентификаторов подсетей.

Идентификаторы подсетей определяют координаты подсети и используются для определения диапазонов IP адресов в каждой подсети.

Таблица 5.3.6.

00000000 = 0

НЕ ИСПОЛЬЗУЕТСЯ

00100000 = 32

X.Y.33.1 – X.Y.63.254

01000000 = 64

X.Y.65.1 – X.Y.95.254

01100000 = 96

X.Y.97.1 – X.Y.127.254

10000000 = 128

X.Y.129.1 – X.Y.159.254

10100000 = 160

X.Y.161.1 – X.Y.191.254

11000000 = 192

X.Y.193.1 – X.Y.223.254

11100000 = 224

НЕ ИСПОЛЬЗУЕТСЯ


Для определения идентификаторов из маски выписываются все возможные комбинации бит, из которых исключаются комбинации, представленные только нулями или только единицами. Полученные значения переводятся в десятичный формат. Самый последний единичный бит в маске – всегда идентификатор первой подсети и он же шаг изменения идентификаторов (см. рис.5.3.2 – последний единичный бит в третьем октете это 32).

Получаем следующие координаты подсетей (X,Y – координаты сети класса В, которая разбивается на подсети):

Подсеть 1 - X.Y.32.0

Подсеть 2 - X.Y.64.0

Подсеть 3 - X.Y.96.0

Подсеть 4 - X.Y.128.0

Подсеть 5 - X.Y.160.0

Подсеть 6 - X.Y.192.0


3. Определение диапазонов IP-адресов

Начало диапазона = текущий идентификатор + 1 и наименьшее значение IP адреса. Конец диапазона - следующий идентификатор - 1 и наибольшее значение IP адреса (таблица 5.3.6.).

Для удобства определения параметров подсетей можно использовать переводные таблицы, представленные для каждого класса на рис. 5.3.3-5.3.5.




Рис. 5.3.3. Таблица преобразования. Сеть класса А.



Рис.5.3.4. Таблица преобразования. Сеть класса B.




Рис.5.3.5. Таблица преобразования. Сеть класса C.


Примеры расчета подсетей.

Задание 1:

Определите маску подсети, соответствующую указанному диапазону IР-адресов: диапазон адресов от 61.9.0.1 до 61.15.255.254.

Решение:

Первый октет – 61, следовательно это сеть класса А (таблица 5.3.3). Маска сети класса А - 255.0.0.0 (таблица 5.3.2.). Для получения маски подсети необходимо модифицировать второй октет. Из приведенного диапазона ясно, что шаг изменения идентификаторов – 8, следовательно координаты первой подсети - 61.8.0.0, второй подсети - 61.16.0.0. Число 8 – это пятый бит слева (рис.5.3.2). Складываем 128+64+32+16+8 и получаем 248. Значит маска подсети 255.248.0.0.


Задание 2:

Определите диапазон идентификаторов узлов для каждой из перечисленных подсетей. Идентификаторы сетей — 107.16.0.0 и 107.32.0.0, маска подсети 255.240.0.0, две подсети.

Решение:

Представленные подсети придадлежет к классу А (таблица 5.3.3). Из маски подсети видно, что во втором октете маски четыре единичных бита (240=128+64+32+16, рис.5.3.2). Следовательно, шаг изменения идентификаторов подсетей равен 16 и в задании представлены первая и вторая подсети. Тогда получам следующие диапазоны IP адресов:

1 подсеть: 107.17.0.1 – 107.31.255.254.

2 подсеть: 107.33.0.1 – 107.47.255.254.


Резюме.

Протокол TCP/IP используется Windows 2003 чаще других, однако при этом существуют и другие протоколы. Протокол NWLink используется для установления соединений с сетями NetWare, протокол DLC — для взаимодействия с серверами печати, протокол AppleTalk — для взаимодействия с сетями Macintosh, а протокол Net-BEUI — для взаимодействия с устаревшими сетями Microsoft LAN. Используйте частную адресацию для того, чтобы минимизировать влияние Internet на локальную сеть вашей организации. Если вы хотите получить собственный адрес TCP/IP, обратитесь к своему Internet-провайдеру.


Вопросы для самопроверки

1. Что должно быть общим у компьютеров, чтобы они могли взаимодействовать?

2. Назовите четыре основных уровня протокола.

3. Какие протоколы используются в сетях, в которых применяется маршрутизация?

4. Когда следует использовать протокол DLC?

5. Что такое адрес обратной связи?

6. Как определить "работоспособность" протокола TCP/IP?

7. Как определить краткую форму маски подсети?

8. Какая команда позволяет очень просто определить IP-адрес вашего компьютера?

9. Какая утилита позволяет перемещать файлы с одного компьютера на другой?

10. Какая утилита позволяет проверить соединение между компьютерами?

11. Зачем нужны пользовательские маски подсети?


Глава 6. Администрирование операционных систем.

§ 6.1 Типовые задачи администрирования.


К типовым задачам администрирования относится управление учетными записями и группами, профилями пользователей, настройка рабочей среды пользователя при помощи сценариев входа, аудит локальной системы.


Управление учетными записями и группами.

Сразу после установки системы Windows 2003 (рабочей станции или сервера, являющегося членом домена) папка Пользователи содержит две встроенные учетные записи — Администратор (Administrator) и Гость (Guest). Они создаются автоматически при установке Windows 2003. Ниже даны описания свойств обеих встроенных учетных записей:

Администратор — эту учетную запись используют при установке и настройке рабочей станции или сервера, являющегося членом домена. Она не может быть уничтожена, блокирована или удалена из группы Администраторы (Administrators), ее можно только переименовать.

Гость — эта учетная запись применяется для регистрации в компьютере без использования специально созданной учетной записи. Учетная запись Гость не требует ввода пароля и по умолчанию блокирована. (Обычно пользователь, учетная запись которого блокирована, но не удалена, при регистрации получает предупреждение, и входить в систему не может.) Она является членом группы Гости (Guests). Ей можно предоставить права доступа к ресурсам системы точно так же, как любой другой учетной записи.

После установки системы Windows 2003 (рабочей станции или сервера, являющегося членом домена) папка Группы (Groups) содержит следующие основные встроенные группы, которые создаются автоматически при установке операционной системы:

Администраторы (Administrators) — ее члены обладают полным доступом ко всем ресурсам системы. Это единственная встроенная группа, автоматически предоставляющая своим членам весь набор встроенных прав.

Операторы архива (Backup Operators) — члены этой группы могут архивировать и восстанавливать файлы в системе независимо от того, какими правами эти файлы защищены. Кроме того, операторы архива могут входить в систему и завершать ее работу, но они не имеют права изменять настройки безопасности.

Гости (Guests) — эта группа позволяет выполнить регистрацию пользователя с помощью учетной записи Гость и получить ограниченные права на доступ к ресурсам системы. Члены этой группы могут завершать работу системы.

Опытные пользователи (Power Users) — члены этой группы могут создавать учетные записи пользователей, но они имеют право модифицировать настройки безопасности только для созданных ими учетных записей. Кроме того, они могут создавать локальные группы и модифицировать состав членов созданных ими групп. То же самое они могут делать с группами Пользователи, Гости и Опытные пользователи. Члены группы Опытные пользователи не могут модифицировать членство в группах Администраторы и Операторы архива. Они не могут быть владельцами файлов, архивировать или восстанавливать каталоги, загружать и выгружать драйверы устройств и модифицировать настройки безопасности и журнал событий.

Репликатор (Replicator) — членом группы Репликатор должна быть только учетная запись, с помощью которой можно зарегистрироваться в службе репликации контроллера домена. Ее членами не следует делать рабочие учетные записи.

Пользователи (Users) — члены этой группы могут выполнять большинство пользовательских функций, например, запускать приложения, пользоваться локальным или сетевым принтером, завершать работу системы или блокировать рабочую станцию. Они также могут создавать локальные группы и регулировать состав их членов. Они не могут получить доступ к общему каталогу или создать локальный принтер.


Управление рабочей средой пользователя.

Для управления средой пользователя предназначены следующие средства Windows 2003:

Сценарий входа в сеть (сценарий регистрации) представляет собой командный файл, имеющий расширение bat, или исполняемый файл с расширением ехе, который выполняется при каждой регистрации пользователя в сети. Сценарий может содержать команды операционной системы, предназначенные, например, для создания соединения с сетью или для запуска приложения. Кроме того, с помощью сценария можно устанавливать значения переменных среды, указывающих пути поиска, каталоги для временных файлов и другую подобную информацию.

Профили пользователей. В профиле пользователя хранятся все настройки рабочей среды компьютера, на котором работает Windows 2003, определенные самим пользователем. Это могут быть, например, настройки экрана и соединения с сетью. Все настройки, выполняемые самим пользователем, автоматически сохраняются в файле, путь к которому выглядит следующим образом: Имя_устройства\корневой_каталог\.... Как правило, корневым является каталог \winnt.

Сервер сценариев Windows (Windows Scripting Host, WSH). Сервер сценариев независим от языка и предназначен для работы на 32-разрядных платформах Windows. Он включает в себя как ядро сценариев Visual Basic Scripting Edition (VBScript), так и JScript. Сервер сценариев Windows предназначен для выполнения сценариев прямо на рабочем столе Windows или на консоли команд. При этом сценарии не надо встраивать в документ HTML.

Аудит локальной системы

Аудит — это процесс, позволяющий фиксировать события, происходящие в операционной системе и имеющие отношение к безопасности. Например, попытки создать объекты файловой системы или Active Directory, получить к ним доступ или удалить их. Информация о подобных событиях заносится в файл журнала событий операционной системы.

После включения аудита операционная система Windows 2003 начинает отслеживать события, связанные с безопасностью. Полученную в результате информацию можно просмотреть с помощью оснастки Просмотр событий (Event Viewer). В процессе настройки аудита необходимо указать, какие события должны быть отслежены. Информация о них помещается в журнал событий. Каждая запись журнала хранит данные о типе выполненного действия, пользователе, выполнившем его, а также о дате и моменте времени выполнения данного действия. Аудит позволяет отслеживать как успешные, так и неудачные попытки выполнения определенного действия, поэтому при просмотре журнала событий можно выяснить; кто предпринял попытку выполнения неразрешенного ему действия.

Аудит представляет собой многошаговый процесс. Сначала его следует активизировать с помощью оснастки Групповая политика (Group Policy). (По умолчанию аудит отключен, поскольку он снижает производительность системы.) После включения аудита необходимо определить набор отслеживаемых событий. Это могут быть, например, вход и выход из системы, попытки получить доступ к объектам файловой системы и т. д. Затем следует указать, какие конкретно объекты необходимо подвергнуть аудиту и включить его с помощью Редактора списков управления доступом, ACL.

Аудит, установленный для родительской папки, автоматически наследуется всеми вновь созданными дочерними папками и файлами. Этого можно избежать, если при создании файла или папки вызвать окно свойств и на вкладке Аудит (Auditing) снять флажок. Переносить наследуемый от родительского объекта аудит на этот объект (Allow inheritable auditing entries from parent to propagate to this object). Если же этот флажок отображен серым цветом или кнопка Удалить недоступна, это значит, что настройки аудита уже унаследованы. В этом случае для изменения настроек аудита дочерних объектов нужно изменить настройки аудита родительской папки, и они будут наследоваться всеми дочерними объектами.


§ 6.2. Средства мониторинга.

[

Все многообразие средств, применяемых для мониторинга и анализа вычислительных сетей, можно разделить на несколько крупных классов:

Системы управления сетью (NetworkManagementSystems) - централизованные программные системы, которые собирают данные о состоянии узлов и коммуникационных устройств сети, а также данные о трафике, циркулирующем в сети. Эти системы не только осуществляют мониторинг и анализ сети, но и выполняют в автоматическом или полуавтоматическом режиме действия по управлению сетью - включение и отключение портов устройств, изменение параметров мостов адресных таблиц мостов, коммутаторов и маршрутизаторов и т.п. Примерами систем управления могут служить популярные системы HPOpenView, SunNetManager, IBMNetView.

Средства управления системой (SystemManagement). Средства управления системой часто выполняют функции, аналогичные функциям систем управления, но по отношению к другим объектам. В первом случае объектом управления является программное и аппаратное обеспечение компьютеров сети, а во втором - коммуникационное оборудование. Вместе с тем, некоторые функции этих двух видов систем управления могут дублироваться, например, средства управления системой могут выполнять простейший анализ сетевого трафика.

Встроенные системы диагностики и управления (Embeddedsystems). Эти системы выполняются в виде программно-аппаратных модулей, устанавливаемых в коммуникационное оборудование, а также в виде программных модулей, встроенных в операционные системы. Они выполняют функции диагностики и управления только одним устройством, и в этом их основное отличие от централизованных систем управления. Примером средств этого класса может служить модуль управления концентратором Distrebuted 5000, реализующий функции автосегментации портов при обнаружении неисправностей, приписывания портов внутренним сегментам концентратора и некоторые другие. Как правило, встроенные модули управления "по совместительству" выполняют роль SNMP-агентов, поставляющих данные о состоянии устройства для систем управления.

Анализаторы протоколов (Protocolanalyzers). Представляют собой программные или аппаратно-программные системы, которые ограничиваются в отличие от систем управления лишь функциями мониторинга и анализа трафика в сетях. Хороший анализатор протоколов может захватывать и декодировать пакеты большого количества протоколов, применяемых в сетях - обычно несколько десятков. Анализаторы протоколов позволяют установить некоторые логические условия для захвата отдельных пакетов и выполняют полное декодирование захваченных пакетов, то есть показывают в удобной для специалиста форме вложенность пакетов протоколов разных уровней друг в друга с расшифровкой содержания отдельных полей каждого пакета.

Оборудование для диагностики и сертификации кабельных систем. Условно это оборудование можно поделить на четыре основные группы: сетевые мониторы, приборы для сертификации кабельных систем, кабельные сканеры и тестеры (мультиметры).
    • Сетевые мониторы (называемые также сетевыми анализаторами) предназначены для тестирования кабелей различных категорий. Следует различать сетевые мониторы и анализаторы протоколов. Сетевые мониторы собирают данные только о статистических показателях трафика - средней интенсивности общего трафика сети, средней интенсивности потока пакетов с определенным типом ошибки и т.п.
    • Назначение устройств для сертификации кабельных систем, непосредственно следует из их названия. Сертификация выполняется в соответствии с требованиями одного из международных стандартов на кабельные системы.
    • Кабельные сканеры используются для диагностики медных кабельных систем.
    • Тестеры предназначены для проверки кабелей на отсутствие физического разрыва.

Экспертные системы. Этот вид систем аккумулирует человеческие знания о выявлении причин аномальной работы сетей и возможных способах приведения сети в работоспособное состояние. Экспертные системы часто реализуются в виде отдельных подсистем различных средств мониторинга и анализа сетей: систем управления сетями, анализаторов протоколов, сетевых анализаторов. Простейшим вариантом экспертной системы является контекстно-зависимая help-система. Более сложные экспертные системы представляют собой так называемые базы знаний, обладающие элементами искусственного интеллекта. Примером такой системы является экспертная система, встроенная в систему управления Spectrum компании Cabletron.

Многофункциональные устройства анализа и диагностики. В последние годы, в связи с повсеместным распространением локальных сетей возникла необходимость разработки недорогих портативных приборов, совмещающих функции нескольких устройств: анализаторов протоколов, кабельных сканеров и, даже, некоторых возможностей ПО сетевого управления. В качестве примера такого рода устройств можно привести Compas компании MicrotestInc. или 675 LANMeterкомпании FlukeCorp.




Системы управления

В соответствии с рекомендациями ISO можно выделить следующие функции средств управления сетью:
  • Управление конфигурацией сети и именованием - состоит в конфигурировании компонентов сети, включая их местоположение, сетевые адреса и идентификаторы, управление параметрами сетевых операционных систем, поддержание схемы сети: также эти функции используются для именования объектов.
  • Обработка ошибок - это выявление, определение и устранение последствий сбоев и отказов в работе сети.
  • Анализ производительности - помогает на основе накопленной статистической информации оценивать время ответа системы и величину трафика, а также планировать развитие сети.
  • Управление безопасностью - включает в себя контроль доступа и сохранение целостности данных. В функции входит процедура аутентификации, проверки привилегий, поддержка ключей шифрования, управления полномочиями. К этой же группе можно отнести важные механизмы управления паролями, внешним доступом, соединения с другими сетями.
  • Учет работы сети - включает регистрацию и управление используемыми ресурсами и устройствами. Эта функция оперирует такими понятиями как время использования и плата за ресурсы.

Из приведенного списка видно, что системы управления выполняют не только функции мониторинга и анализа работы сети, необходимые для получения исходных данных для настройки сети, но и включают функции активного воздействия на сеть - управления конфигурацией и безопасностью, которые нужны для отработки выработанного плана настройки и оптимизации сети. Сам этап создания плана настройки сети обычно остается за пределами функций системы управления, хотя некоторые системы управления имеют в своем составе экспертные подсистемы, помогающие администратору или интегратору определить необходимые меры по настройке сети.

Средства управления сетью (NetworkManagement), не следует путать со средствами управления компьютерами и их операционными системами (SystemManagement).

Средства управления системой обычно выполняют следующие функции:
  • Учет используемых аппаратных и программных средств. Система автоматически собирает информацию об обследованных компьютерах и создает записи в базе данных об аппаратных и программных ресурсах. После этого администратор может быстро выяснить, чем он располагает и где это находится. Например, узнать о том, на каких компьютерах нужно обновить драйверы принтеров, какие ПК обладают достаточным количеством памяти и дискового пространства и т. п.
  • Распределение и установка программного обеспечения. После завершения обследования администратор может создать пакеты рассылки программного обеспечения - очень эффективный способ для уменьшения стоимости такой процедуры. Система может также позволять централизованно устанавливать и администрировать приложения, которые запускаются с файловых серверов, а также дать возможность конечным пользователям запускать такие приложения с любой рабочей станции сети.
  • Удаленный анализ производительности и возникающих проблем. Администратор может удаленно управлять мышью, клавиатурой и видеть экран любого ПК, работающего в сети под управлением той или иной сетевой операционной системы. База данных системы управления обычно хранит детальную информацию о конфигурации всех компьютеров в сети для того, чтобы можно было выполнять удаленный анализ возникающих проблем.


Резюме.

Термином мониторинг сети называют работу системы, которая выполняет постоянное наблюдение за ссылка скрыта в поисках медленных или неисправных систем и которая при обнаружении ссылка скрыта сообщает о них ссылка скрыта с помощью ссылка скрыта, ссылка скрыта или других средств оповещения. Эти задачи являются подмножеством задач ссылка скрыта.

В то время как ссылка скрыта следит за появлением угроз извне, система мониторинга сети выполняет наблюдение за сетью в поисках проблем, вызванных перегруженными и/или отказавшими ссылка скрыта, другими устройствами или сетевыми соединениями.

Например, для того, чтобы определить состояние ссылка скрыта, программа, выполняющая мониторинг, может периодически отправлять запрос ссылка скрыта на получение страницы; для ссылка скрыта можно отправить тестовое сообщение по ссылка скрыта и получить по ссылка скрыта или ссылка скрыта.

Неудавшиеся запросы (например, в том случае, когда соединение не может быть установлено, оно завершается по ссылка скрыта, или когда сообщение не было доставлено) обычно вызывают реакцию со стороны системы мониторинга. В качестве реакции может быть:
  • отправлен сигнал тревоги ссылка скрыта;
  • автоматически активирована система защиты от сбоев, которая временно выведет проблемный сервер из эксплуатации, до тех пор, пока проблема не будет решена,

и так далее.


Вопросы для самопроверки

1. Что такое группы в Windows 2003 Server и как они используются?

2. Чем заданные по умолчанию права доступа в Windows 2003 Server отличаются от таковых в более ранних версиях Windows?

3. Чем отличаются файловые системы FAT и NTFS?

4. Можно ли удалять учетную запись Guest?

5. Могут ли пользователи совместно использовать одну учетную запись?

6. Когда нужно использовать учетную запись Administrator?

7. Что должны представлять собой имена пользователей?

8. Как с гарантией исключить пользователя из группы домена?

9. Можно ли отключить всех пользователей от сервера в конкретное время?

10. Какова оптимальная длина пароля?


Глава 7. Сетевые службы.

§ 7.1. Служба DNS и BIND.

Служба DNS работает на прикладном уровне, используя два транспортных протокола: TCP и UDP.

Задача DNS – транслировать имена компьютеров в IP – адреса.

В работе DNS участвуют три основных компонента:
  1. Клиенты DNS.
  2. Серверы имен.
  3. Пространство имен доменов.

DNS – клиенты посылают серверам запросы по протоколам UDP, но при потере информации могут переключаться на протокол TCP. Серверы имен принимают сообщения от DNS – клиентов и преобразуют имена компьютеров в IP – адреса. Серверы сгруппированы по разным уровням – доменам. Домены определяют различные уровни иерархии.

Зона ответственности – часть пространства имен домена, за которую отвечает DNS сервер. Один DNS сервер может управлять несколькими зонами.

DNS серверы могут выполнять разные задачи. Они хранят и поддерживают базы данных разными способами.

Роли DNS серверов.
    1. Основной сервер имен.

Извлекает информацию из локальных файлов. Изменения в параметрах зоны (например, добавление узла (домена)) выполняются на основном сервере имен.
    1. Резервный сервер имен.

Получает информацию о своей зоне от других серверов имен.
    1. Кэширующий сервер.

Не содержит базы, а только перенаправляет запросы.


Настройка DNS сервера Windows 2003 Server


Служба разрешения имен DNS предназначена для определения IP-адреса компьютера по его имени. Она позволяет использовать вместо трудно запоминаемых IP-адресов понятные имена, например, er.ru или soft.com. DNS является основной службой имен для Windows Server 2003 и Интернета. Посредством DNS группы компьютеров организуются в домены, которые в свою очередь выстроены в иерархическую структуру. Эта структура может охватывать как сеть предприятия, так и глобальную сеть — Интернет. Разные уровни иерархии соответствуют индивидуальным компьютерам, доменам организаций и доменам верхнего уровня. В полном имени узла omega.microsoft.com, omega представляет собой имя индивидуального компьютера, microsoft — домен организации, а сот — домен верхнего уровня. Домены верхнего уровня располагаются в основании иерархии DNS и поэтому называются корневыми (root domains). Их назначают по географическому расположению, по типу организации или по се назначению. Обычные домены типа microsoft.com также называют родительскими (parent). Родительские домены разделяются на дочерина (child) подломены, соответствующие группам или отделам в пределах организации. Например, полное доменное имя компьютера в отделе кадров может выглядеть так — jacob.hr.microsoft.com, где jacob — имя узла, hr — дочерний домен, а microsoft.com — родительский.


Установка DNS-серверов.


Система Microsoft Windows Server 2003 способна исполнять функции DNS-сервера одного из нескольких типов.

Основной интегрированный с Active Directory (Active Directory - integrated primary) — DNS-сервер, полностью интегрированный с Active Directory. Все данные DNS хранятся в каталоге.

Основной (primary) — главный DNS-сервер домена, частично интегрированный с Active Directory. Оригинал записей DNS и файлы конфигурации домена хранятся в текстовых файлах с расширением DNS.

Дополнительный (secondary) — резервный DNS-сервер, который хранит копию записей DNS, полученных от основного сервера, и выполняет обновления тем зонных передач. Дополнительный сервер получает данные DNS от основного сервера при запуске и использует их, пока они не устареют или не будут обновлены. Ограниченный сервер пересылки (forwarding-only) — передает DNS-информацию, полученную и результате поиска, и передает дальше запросы другим серверам. Данные DNS хранятся на нем, пока не устареют или не будут обновлены. В отличие от дополнительного, ограниченный сервер пересылки не запрашивает полные копии файлов БД зоны. Когда вы запускаете этот сервер, его база пуста.


Управление ресурсными записями DNS


Ресурсные записи DNS необходимы для того, чтобы вести базу данных DNS серверов. Типов записей DNS множество, но большинство обычно не используют, так что мы рассмотрим те из них, которые вам действительно понадобятся:

A (address) — сопоставляет имя узла с IP-адресом. Количество этих записей должно совпадать с количеством сетевых адаптеров или IP-адресов у компьютера;
  • CNAME (canonical name) — задает псевдоним для имени узла.

Например, запись этого типа позволит узлу 2eta.microsoft.com получить псевдоним ссылка скрыта, видном пользователям в Интернете.
  • MX (mail exchange) - определяет сервер почтового обмена для домена;

NS (name server) — указывает сервер имен для домена, обеспечивающий поиск DNS в разных зонах. Такой записью должны объявляться все основные и дополнительные серверы имен;

PTR (pointer) — создает указатель, сопоставляющий IР-адрес с именем узла для выполнения обратного просмотра;

SOA (start of authority) — описывает предпочтительный полномочный узел зоны, являющийся наиболее достоверным источником данных DNS. Запись SOA создается автоматически при добавлении зоны и должна содержаться в каждом файле зоны.


Настройка сервера BIND в Linux.


BIND, Berkeley Internet Name Domain, который является наиболее популярной реализацией спецификаций DNS.

Программы, владеющие информацией о пространстве доменных имен, называются DNS-серверами. DNS-серверы обычно обладают полной информацией по определенным сегментам (или зонам) пространства доменных имен, которая загружается из файла либо может быть получена от других серверов имен. В таких случаях говорят, что сервер имен является авторитативным для конкретной зоны. DNS-серверы могут быть авторитативными также и для нескольких зон.

База данных DNS сервера состоит из двух частей: прямой и обратной зоны.

Файлы данных зоны

Большинство записей в файлах данных зоны называются RR-записями DNS. При поиске DNS не обращает внимания на регистр символов, так что имена в файлах данных зоны можно набирать в произвольном регистре, даже в смешанном. Мы практически всегда используем строчные буквы. Несмотря на то, что поиск нечувствителен к регистру символов, регистр сохраняется при возвращении результатов. Таким образом, если добавить к файлам данных зоны записи с именем Tootsie.movie.edu, результаты поиска для tootsie.movie.edu будут содержать эти записи, но с заглавной буквой «Т» в имени домена. RR-записи должны начинаться с первой позиции строки. RR-записи в примерах, приводимых в этой книге, начинаются с первой позиции, а видимые отступы появляются из-за своеобразного форматирования книги. В RFC-документах по DNS RR-записи в примерах приводятся в определенном порядке. Многие люди следуют этому порядку (и мы не исключение), но такой порядок следования записей не является обязательным. Итак, выбранный порядок следования записей:

SOA-записъ

Указывает на авторитативностъ для зоны

NS-запись

Перечисляет DNS-серверы зоны

Прочие записи

Данные об узлах зоны

Из прочих записей в данной главе рассмотрены:

А

Отображение имен узлов в адреса

PTR

Отображение адресов в имена узлов

CNAME

Каноническое имя (для псевдонимов)


2.1. Настройка основных сетевых параметров.


Основные файлы, отвечающие за конфигурацию сети в ОС Linux:

- /etc/host.conf;

- /etc/hosts;

- /etc/resolv.conf


Конфигурирование файла /etc/host.conf

Этот файл предназначен для того, чтобы система могла определить, каким образом она будет получать информацию об именах и IP-адресах.

В файле должна содержаться запись:

order hosts, bind

Это означает, что при поиске хостов система сначала просмотрит файл hosts.


Файл /etc/hosts

В этом файле должны находиться пары «IP адрес - имя»:

127.0.0.1 localhost localhost.localdomain

192.168.0.1 server1.kt.ru

192.168.0.2 server2.kt.ru

Этот файл позволяет делать преобразование «Имя хоста – IP адрес» без обращений к DNS серверу. Обычно используется в небольшой локальной сети, когда нет необходимости в установке и настройке DNS сервера.


Файл /etc/resolv.conf

В этом файле должны находится строки:

search bins.ru

nameserver 212.165.195.22

В первой строке указывается, какое доменное имя будет принято по умолчанию. В следующей строке будут писаться имена DNS серверов, к которым будет обращаться Ваша машина.

Контрольные вопросы по теме.


1. Для чего используется служба DNS?

2. Что такое прямая и обратная зона DNS?

3. Что такое ресурсные записи DNS?

4. Что делает служба DNS и каким образом?

5. Нужно ли в сети создавать собственный сервер DNS?

6. Какие виды DNS серверов существуют и их задачи?

7. Что такое корневой сервер имен и его задачи?

8. Опешите схему рекурсивного запроса доменного имени?

9. Можно ли обойтись при настройке сети без сервера DNS?

10. Назовите три основных компонента DNS?

11. Объясните разницу между основным, резервным и главным серверами DNS?

12. Опишите различие между доменом и зоной?

Чем отличаются рекурсивный и итеративный запрос?


13. Назовите основные конфигурационные файлы DNS сервера Linux.

14. Опишите схемы работы DNS сервера.

15. Назовите функции демона named.

16. Назовите средства конфигурирования Bind.

17. Опишите, как производится управление безопасностью Bind.

18. Как производится тестирование Bind.

19. Перечислите основные ресурсные записи DNS сервера.

20. Как настраивается прямая зона Bind.

21. Как настраивается обратная зона Bind.

22. Как производится поиск ошибок в конфигурации Bind.


§ 7.2. Служба DHCP.

Настройка DHCP сервера Windows 2003 Server


В операционной системе Microsoft Windows 2003 Server поддерживается широко известный протокол DHCP (Dynamic Host Configuration Protocol, протокол динамической конфигурации хоста). Это — открытый промышленный стандарт, который упрощает управление сетями на базе TCP/IP. Каждому хосту (компьютеру), подключенному к сети на базе TCP/IP, должен быть назначен уникальный IP-адрес. Протокол DHCP освобождает сетевых администраторов от необходимости настраивать все компьютеры вручную.

DHCP может автоматически конфигурировать настройки TCP/IP во время загрузки компьютера. Это позволяет хранить все доступные IP-адреса в центральной базе данных вместе с соответствующей информацией о конфигурации, такой как маска подсети, адрес шлюза и адреса серверов DNS и WINS. DHCP упрощает работу системных администраторов. При этом, чем больше сеть, тем выгоднее применять протокол DHCP. Без динамического назначения адресов администратору пришлось бы настраивать клиентов вручную, последовательно назначая адреса. Изменения должны производиться для каждого клиента по отдельности. Чтобы избежать двойного использования, IP-адреса должны распределяться централизованно. Информация о конфигурации без протокола DHCP распределена по клиентам; в этом случае трудно получить представление о конфигурациях всех клиентов.